Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

誰が、どんな対策を、どこまで実施すべき?中小企業における基本的なセキュリティ対策の考え方(中編)

2017/06/09 06:00

 前回の前編ではこれまでのセキュリティについての歴史と脅威を振り返りました。大企業の場合、システム関連の部署が存在し、専任の担当者が主導して前編のような対策を実施しているでしょう。一方、中小企業ではITに詳しい人が社内におらず、片手間で業務の合間にセキュリティを考えている場合も多くあります。予算の面でも、十分な費用を掛けられないことがほとんどで、できる対策も限られてきます。そこで、中編と後編では中小企業ではどのような対策を実施すればよいのかを見ていきます。特にこの中編では、対策の全体像や考え方について解説します。

誰がセキュリティ対策を実施するのか?

 まず考えなければならないのが、「誰がセキュリティ対策を実施するのか」です。専任の担当者がいない中小企業では、周囲より少しだけパソコンに詳しい人が空いている時間に対応していることも少なくありません。

 ただ、パソコンに詳しいだけではセキュリティについても詳しいとは限りません。しかも、パソコンの導入やソフトウェアの設定を工夫すると、売上や利益につながるかもしれませんが、多くの企業ではセキュリティ対策をどれだけ念入りに行っても、売上や利益につながりません。

 結果として、他の仕事をしている時間を増やすことで会社に貢献しようという意識が働くと、セキュリティは後回しになるのも当然です。ただ、対策を実施せずに被害が発生すると、大規模な損害が発生するのも事実です。

 情報セキュリティはパソコンを使う場面だけに限った話ではありません。「ソーシャルエンジニアリング」という言葉があるよう に、電話でパスワードを聞き出す、ゴミ箱を漁って秘密情報が書かれた紙を盗み出すなどの方法もあります。

図1:ソーシャルエンジニアリングの手口

 つまり、パソコンを使う人やセキュリティ担当者だけでなく、「仕事に関わるすべての人」が対策を常に意識する必要があるのです。人によってセキュリティに対する考え方や求めるレベルが異なっていると、どのような基準で対策を実施すればよいのかわかりません。

 そこで、どのような対策をどの程度実施するのか、方針を決めなければなりません。基本的には、経営者が主導して、方針を決定します。その後、その方針に従って具体的な対策やルールを考えます。対策やルールが決まると、実施するのは全従業員の役割です。

 セキュリティは「城壁」に例えられることが多く、一箇所でも弱いところがあると、そこから侵入されてしまいます。誰か一人でも意識の低い人がいると、そこから情報が漏れてしまうため、全員が同じレベルで高いセキュリティ意識を持つことが重要です。

※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 増井 敏克(マスイ トシカツ)

    増井技術士事務所 代表、技術士(情報工学部門) 1979年奈良県生まれ。大阪府立大学大学院修了。テクニカルエンジニア(ネットワーク、情報セキュリティ)、その他情報処理技術者試験にも多数合格。ITエンジニアのための実務スキル評価サービス「CodeIQ」にて、情報セキュリティやアルゴリズムに関する問題を...

バックナンバー

連載:サイバーセキュリティ対策の現実解-中堅・中小企業のための情報セキュリティ強化策
All contents copyright © 2007-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5